En skøn forårsaften, hvor jeg ikke ville hjem, og det ukuelige ønske om at leve og lære kløede og brændte som et varmt strygejern, opstod ideen om at plukke på et fristende herreværk på firewallen kaldet "IP DOS-politik".
Efter foreløbige kærtegn og fortrolighed med manualen satte jeg den op i mode Pass-og-log, for at se på udstødningen generelt og den tvivlsomme anvendelighed af denne indstilling.
Efter et par dage (for at statistikken skulle akkumuleres, selvfølgelig, og ikke fordi jeg glemte det), så jeg på loggene og dansede på stedet og klappede i hænderne - der var rekorder nok, lad være med at lege. Det ser ud til, at det ikke kunne være enklere - slå politikken til for at blokere al oversvømmelse, scanning, installation halvåbent sessioner med et forbud i en time og sove roligt med bevidstheden om, at grænsen er låst. Men det 34. leveår overvandt den ungdommelige maksimalisme og et sted bagerst i hjernen lød en tynd stemme: ”Lad os løfte vores øjenlåg og se, hvis adresser vores elskede firewall genkendte som ondsindede oversvømmelser? Nå, i rækkefølge af nonsens."
Vi begynder at analysere de modtagne data fra listen over anomalier. Jeg kører adresser gennem et simpelt script PowerShell og øjnene støder på kendte bogstaver Google.
Jeg gnider mine øjne og blinker i cirka fem minutter for at sikre mig, at jeg ikke forestiller mig ting - ja, på listen over dem, som firewallen betragtede som ondsindede oversvømmelser, er typen af angreb - udp oversvømmelse, adresser tilhørende det gode selskab.
Jeg klør mig i hovedet og opsætter samtidig pakkefangst på den eksterne grænseflade til efterfølgende analyse. Lyse tanker flyder gennem mit hoved: “Hvordan kan det være, at noget er inficeret i Google Scope? Og det er hvad jeg opdagede? Ja, det her, det her er priser, æresbevisninger og en rød løber, og dets eget casino med blackjack og ja, du forstår...”
Parser den modtagne fil Wireshark-om.
Ja, faktisk fra adressen fra scopet Google UDP-pakker bliver downloadet fra port 443 til en tilfældig port på min enhed.
Men vent lidt... Her ændres protokollen fra UDP på GQUIC.
Semyon Semenych...
Jeg husker straks rapporten fra høj belastning Alexandra Tobolya «UDP против TCP eller fremtiden for netværksstakken"().
På den ene side indtræder en lille skuffelse - ingen laurbær, ingen hæder til dig, mester. På den anden side er problemet klart, det er tilbage at forstå, hvor og hvor meget man skal grave.
Et par minutters kommunikation med The Good Corporation - og alt falder på plads. I et forsøg på at forbedre hastigheden af indholdslevering, virksomheden Google annoncerede protokollen tilbage i 2012 QUIC, som giver dig mulighed for at fjerne de fleste af manglerne ved TCP (ja, ja, ja, i disse artikler - и De taler om en fuldstændig revolutionerende tilgang, men lad os være ærlige, jeg vil gerne have, at billeder med katte indlæses hurtigere, og ikke alle disse revolutioner af bevidsthed og fremskridt). Som yderligere forskning har vist, skifter mange organisationer nu til denne type indholdsleveringsmulighed.
Problemet i mit tilfælde og, tror jeg, ikke kun i mit tilfælde, var, at der i sidste ende er for mange pakker, og firewallen opfatter dem som en oversvømmelse.
Der var få mulige løsninger:
1. Tilføj til eksklusionsliste for DoS politik Omfang af adresser på firewallen Google. Ved bare tanken om rækken af mulige adresser begyndte hans øje at rykke nervøst – ideen blev lagt til side som skør.
2. Forøg svartærsklen for udp oversvømmelsespolitik - heller ikke comme il faut, men hvad nu hvis nogen virkelig ondsindet sniger sig ind.
3. Forbyd opkald fra det interne netværk via UDP på 443 port ud.
Efter at have læst mere om implementering og integration QUIC в Google Chrome Den sidste mulighed blev accepteret som en indikation for handling. Faktum er, at elsket af alle overalt og nådesløst (jeg forstår ikke hvorfor, det er bedre at have en arrogant rødhåret Firefox-ovskaya snude vil modtage for de forbrugte gigabyte RAM), Google Chrome forsøger i første omgang at etablere en forbindelse ved hjælp af dens hårdt tjente QUIC, men hvis et mirakel ikke sker, så vender det tilbage til gennemprøvede metoder som TLS, selvom han skammer sig enormt over det.
Opret en post for tjenesten på firewallen QUIC:
Vi sætter en ny regel op og placerer den et sted højere i kæden.
Efter at have tændt reglen på listen over anomalier, fred og ro, med undtagelse af virkelig ondsindede overtrædere.
Tak til jer alle for jeres opmærksomhed.
Anvendte ressourcer:
1.
2.
3.
4.
Kilde: www.habr.com